Risque
- Exécution de code arbitraire ;
- déni de service.
Systèmes affectés
ImageMagick 6.2.8 et versions antérieures.
Description
Une vulnérabilité de type débordement de mémoire a été découverte dans l'application ImageMagick. Elle permet à un utilisateur mal intentionné de provoquer un déni de service au moyen d'une image au format SGI spécialement construite. Cette vulnérabilité pourrait également permettre l'exécution de code arbitraire sur le système vulnérable.
Solution
Appliquer la mise à jour de sécurité en passant à la version 6.2.9 de ImageMagick disponible à l'adresse suivante :
http://www.imagemagick.org/script/download.php
Documentation
- Site Internet de l'éditeur :
http://www.imagemagick.org
- Mise à jour de sécurité ImageMagick 6.2.9 :
http://www.imagemagick.org/script/download.php
- Bulletin de sécurité Gentoo GLSA-200609-14 du 26 septembre 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200609-14.xml
- Bulletin de sécurité RedHat RHSA-2006:0633 du 24 août 2006 :
http://rhn.redhat.com/errata/RHSA-2006-0633.html
- Bulletin de sécurité Mandriva MDKSA-2006:155 du 29 août 2006 :
http://www.mandriva.com/security/advisories?name=MDKSA-2006:155
- Bulletin de sécurité Debian DSA-1168 du 04 septembre 2006 :
http://www.debian.org/security/2006/dsa-1168
- Bulletin de sécurité Ubuntu USN-340-1 du 06 septembre 2006 :
http://www.ubuntu.com/usn/usn-340-1
- Bulletin de sécurité SuSE SUSA-SA:2006:050 du 08 septembre 2006 :
http://www.novell.com/linux/security/advisories/2006_50_imagemagick.html
- Référence CVE CVE-2006-3743 :
https://www.cve.org/CVERecord?id=CVE-2006-3743
- Référence CVE CVE-2006-3744 :
https://www.cve.org/CVERecord?id=CVE-2006-3744
